アカウント名:
パスワード:
IEについては,修正パッチなどが提供されないまま現在に至っている。」
・・・だとすれば,
ということになるのでは?この手の脆弱性には今後も手こずることになるのか。
IEについては,修正パッチなどが提供されないまま現在に至っている。」 [nikkeibp.co.jp]
Disable the following security setting:"Navigate sub-frames across different domains".
もしやこの脆弱性は以前のストーリー「IE5/6でエンバグ、セキュリティホール復活 [srad.jp] [srad.jp]」と関係ありませんか。
ついでに。Firefoxを使う意義 [srad.jp]ですか?どのプラットフォームでも同じブラウザが使える。好きな拡張選り取りみどり。迅速なセキュリティアップデートはおまけかと(^^;
# Firefox 1.0.5は今週末? # OS/2でもWindowsでもFirefox使いだけどID
Disable the following security setting: "Navigate sub-frames across different domains". (似非日本語訳) 次のセキュリティ設定を"無効"に変更する: 「異なるドメイン間のサブフレームの移動」
Mozilla Firefoxはセキュリティを最重要課題としつづけているとのことだが、新しい機能を付け加えるだけでなくこれまでのバグフィックスの成果も怠り無く引き継がれるようにしてもらいたいものである。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
望まれない復活というと (スコア:1)
Mozillaよお前もか、と少々哀しい出来事です。
とりあえず、Konquerorとw3mを使いますが(w
/.configure;oddmake;oddmake install
Re:望まれない復活というと (スコア:2, 参考になる)
全くだ。
と思ったら、
「なお今回のセキュリティ・ホールは,Internet Explorer(IE)やOpera,
Netscapeといった複数のブラウザに見つかっている。
(中略)
IEについては,修正パッチなどが提供されないまま現在に至っている。」
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050606/162208/
Re:もしや何度も再発してないか (スコア:3, 参考になる)
・・・だとすれば,
ということになるのでは?この手の脆弱性には今後も手こずることになるのか。
Re:もしや何度も再発,更に補足 (スコア:2, 参考になる)
ついでに。Firefoxを使う意義 [srad.jp]ですか?どのプラットフォームでも同じブラウザが使える。好きな拡張選り取りみどり。迅速なセキュリティアップデートはおまけかと(^^;
# Firefox 1.0.5は今週末?
# OS/2でもWindowsでもFirefox使いだけどID
両者共通の問題:利便性か、安全性か? (スコア:1)
Firefoxと同じで設定変更するだけです。
Secunia - Advisories - Internet Explorer Frame Injection Vulnerability [secunia.com]にはしっかりと、
ときちんと書いてあります。
フォロー記事は窓の杜のこの記事 [impress.co.jp]だけだったのような気がしますが。
# セキュリティホールmemoの当時のログ [ryukoku.ac.jp]を見てもそんな感じ。
# Firefox熱が高かった時期だし仕方がないけどさ・・・
WindowsUpdateで強制的に設定変更させるパッチを流すというのも解の一つですが、副作用が多き過ぎて到底受け入れられないでしょうね。
それが現在もIEが未パッチの理由。
同様にFirefoxも初期設定が元に戻っただけのような気がします・・・
元に戻す理由があったのか、管理ミスなのかどうなんでしょうかね?
個人的想像ですが、不便で使えないとか使いにくいからとかそういった理由な気がしますが。
この問題は本当に利便性か安全性をどうするかというトレードオフで、初期設定をどうするかが悩ましい物だと思います。
掲示板やCGIを別のサーバーからレンタルや借りてきてフレームに組み込むなんて当たり前にやってたりしますし。
# 本質的には窓の杜の記事が言うように規格元が新たにフレームの名前の寿命や、
# 影響する範囲をどうするか定義しないかぎりどうしようもないかと思う
それは違います。 (スコア:1, おもしろおかしい)
そうではなく、別のセキュリティバグ [mozilla.org]を修正したによる副作用(いわゆるregression:退行)です。
この問題の背景はタブです。昔は「ウィンドウ」が文字通りウィンドウを指していての数え方も取り扱いも非常に楽だったんですが、タブブラウジングを円滑に行うために、ウィンドウ生成プロセスの一部を変更しました。というより、ここを長い間、変更できずにタブブラウジング機能は非難を浴び続けていたのですが、最近になってようやく見直されたのです。ですから、経験の量が不足しているわけで、私の感想としては、ミスには違いないけど、さほど意外ではない、というところですかね。
新しいウィンドウに正しい権限を設定できていないのが直接の原因です。
bug 296850 [mozilla.org]
おっしゃるように、利便性と安全性の問題は、もちろん依然としてあるのですが、それは一応結論がでているわけでして(例えば、タブ機能をオンにして2chに行くとわかります)、今回のものは純然たるバグです。
# 「ウィンドウ」を4通りの意味で使ってしまったが、他にいい表現も思い浮かばないしなぁ。
1.0.5RC (スコア:0)
Re:両者共通の問題:利便性か、安全性か? (スコア:0)
そろそろ、こういう事をやめようという運動が出てきても良いような。
ブラウザをセキュアな状態に保ったままでは正常に観賞できないサイトってのはちょっと問題があると思う。
Re:両者共通の問題:利便性か、安全性か? (スコア:1)
負荷分散のためにサイト内で別サーバーを複数用意する事があると思います。
個人でもプロバイダーがCGIを実行できるサーバーを用意していないとか、
セキュリティ確保のためにCGIだけ別のサーバーで実行されるといった場合があります。
サーバーが同じだったとした場合、同一プロバイダーだったら、ドメインでは区別が出来ませんのでやはり駄目でしょう。
そういう事を考えると、実現可能かどうかは微妙かなぁ・・・と。
まっ、最近は見た目や同様の機能をTABLEタグ,CSS,JAVA Scriptでなんとか出来てしまうわけで、
自分のサイトにフレームを使わないという選択肢もアリかなとは思います。
# 例えば./ [srad.jp](Not typo)のように
一部環境でレイアウトが崩れまくるのが面倒なんですけどね・・・
Re:望まれない復活というと (スコア:0)
Re:望まれない復活というと (スコア:0)
だよなぁ。
新しい穴が見つかるよりも印象悪いし。
Re:望まれない復活というと (スコア:3, 参考になる)
つい先日「セキュアプログラミング」という本を読んだところなのですが、
その本には「コーディングよりも設計、運用の方が大事」というようなことが
書いてあり、パッチ当ての方針も「設計」として重視すべきだとありました。
バッファオーバーフローでも任意のコマンドが実行されないようにする方法さえ
いろいろ出てきている今、真の意味でセキュリティを考えているならば
コード自体よりも、こうしたプロジェクト運営などの面での工夫が重要と
言えそうです。それを裏付ける点として、最近発見された脆弱性は(これまた
本で警告されていたことですが)、正常に動作しているプログラム同士の
組み合わせに生じる問題といった微妙なものが多くなっているように思います。
ソフトウェア単体やコードだけを見ていると、こうした穴を見逃してしまうようです。
オープンソースプロジェクトでこういう対策(セキュリティに配慮し指針に
沿ったプロジェクト運営)をやろうとすると、
「規則ばっかり作ってたら進まない」
「政治やりたいんだったらヨソに行きな」
という反応が出そうですけれど、mozilla 陣営は比較的成功しているように
見えていますので、より一層の進展を願います。
(この点でも OpenBSD がお手本になるだろうか……)
#酔ってるけど ID で。
Re:望まれない復活というと (スコア:0)
Re:望まれない復活というと (スコア:0)
Re:望まれない復活というと (スコア:1)
私の書いたコメントでは http://www.openbsd.org/security.html の
「継続的・多面的な audit」や「proactivity」の中に含まれている
(ただし、たぶんすべてが明文化されているわけではない)指針を
意識していました。
実例としては Hackathon で unionfs や telnetd が消えたことを
挙げられると思います。コードは audit されているので問題ない
としても、実際に使われる場面を想定したときの安全性について
疑問が残るので消した、ということでしょうから。
「便利だから」「みんな実装してるから」という理由を理由として
認めない……と言えるかもしれません。mozilla のほうが明文化
され確固としたプロジェクト運営指針を持っているように見えるの
ですが、実際にはそうしたものを開発者個人の哲学として持っている
OpenBSD のほうがセキュリティの向上に成功しているので、そこで
用いられている理念をお手本にできないかな、と思ったのでした。
でも最後のカッコで書いただけなので、あんまりつっこまないでください。
私自身はヘボいタコですし、知ったかぶりでウソつくことがよくあります。
Re:望まれない復活というと (スコア:0)
実際にはtelnetdを必要とする人は自分でmake install するでしょう
そうすれば OSの責任外な所でユーザーが独自にパッチを当てないといけなくなります
将来 telnetd にプログラム的なセキュリティホールが発見さ
Re:望まれない復活というと (スコア:0)
利用者が少ないからフィードバックする人や穴を発見する人も
少ないって事かもしれない